אנחנו שמחים להודיע שפרטי כניסה לסשן לפי מכשיר (DBSC) זמינים עכשיו ב-Chrome 145 ב-Windows, ומציעים דרך חדשה להגן על משתמשים מפני גניבת קובצי Cookie.
קובצי Cookie זמניים הם מטרה לתוקפים כבר הרבה זמן. גניבת קובצי Cookie מאפשרת לתוקף להתחזות למשתמש ולהשיג גישה לחשבונות שלו. תכונת DBSC עוזרת לאבטח סשנים של משתמשים על ידי קישור שלהם למכשיר שבו הם מתבצעים. היא מקשרת באופן קריפטוגרפי סשנים של אימות למכשיר על ידי יצירת זוג מפתחות ציבורי/פרטי במכשיר. ב-Chrome ב-Windows, המפתחות האלה מוגנים בחומרה באמצעות מודול פלטפורמה מהימנה (TPM).
באמצעות DBSC, אתם יכולים לוודא שהמשתמש נמצא באותו מכשיר לאורך כל הסשן, על ידי בקשת הוכחה לכך שהמפתח הפרטי עדיין נמצא בדפדפן. כך קשה הרבה יותר לתוקפים להשתמש בקובצי Cookie גנובים, כי בדרך כלל אין להם גישה למפתח הפרטי במכשיר של המשתמש.
איך DBSC עובד
מערכת DBSC מיועדת לשילוב פשוט. כשמשתמש מתחבר לחשבון, אפשר להפעיל את DBSC על ידי הצגת כותרת התגובה של HTTP Secure-Session-Registration.
הכותרת הזו אומרת לדפדפן לקרוא לנקודת קצה של רישום באתר עם המפתח הציבורי של הסשן. לאחר מכן, נקודת הקצה של הרישום צריכה לאחסן את המפתח הציבורי הזה ולהגיב עם הגדרת הסשן כדי ליצור את הסשן המאובטח.
אחרי שהסשן מקושר, כשמוגדר שקובץ cookie מקושר יפוג, Chrome ייצור קשר עם נקודת קצה לרענון שסיפקתם. בנקודת הקצה הזו, אפשר לאתגר את הדפדפן כדי להוכיח שהוא עדיין מחזיק במפתח הפרטי שמשויך להפעלה. אם האתגר מצליח, אפשר להנפיק קובץ Cookie חדש כדי לאמת בקשות אחרות. אם הפעולה נכשלת, למשל אם תוקף מנסה להשתמש בקובץ Cookie גנוב במכשיר אחר ללא גישה ל-TPM, אפשר לדחות את הבקשה.
הפרוטוקול הזה לא מחייב שינויים בתהליכי האימות שלכם מחוץ לשתי נקודות הקצה האלה.
מידע נוסף על הטמעה של DBSC זמין במדריך למפתחים בנושא אישורים של סשנים שקשורים למכשיר.